Abuse IP Scan

Vraag je toch aan de beherende partij van de Router om te kijken waar het vandaan komt? Die weten wel hoe ze dat kunnen zien (logging, span poorten etc)

/edit
oh ik las het verkeerd, jullie doen het beheer, maar weten niet hoe het werkt? Dat is natuurlijk niet zo handig, er wordt betaald voor jullie dienstverlening, maar jullie kunnen het niet bieden, niet erg netjes. Raadt je dan aan expertise in te huren, zie het als een investering, want jullie kunnen daar van leren en dus de volgende keer zelf actie ondernemen.

[ Voor 54% gewijzigd door Vorkie op 11-07-2017 12:05 ]

De Draytek is niet gemaakt om uitgaand verkeer te controleren. (Misschien dat het via een omweg wel kan - dat weet ik niet.) Zelf zou ik er tijdelijk een Linux doos tussenzetten ipv de Draytek. iptables met PSD module en je weet al heel snel iets. Zo niet, dan een tcpdump van een paar dagen analyseren.

Overigens is mijn eerste vermoeden dat het hier om malware of een soort virus gaat, niet om een kwaadwillige gebruiker. Zelfs als je de bron kan vinden en uitschakelen is de kans groot dat de situatie zich herhaalt. Naar mijn mening zul je dus echt meer maatregelen moeten nemen dan het eenmalig identificeren van de dader.

Ik zou tussen de WAN verbinding en de Draytek (of in plaats van de Draytek) een PFSense bakje neerzetten met Suricata erop (is een standaard plugin op PFSense). Hiermee heb je heel snel in kaart welke interne IP's aan het poortscannen zijn en kun je zelfs deze IP's automatisch blokkeren.

Simpele1986 schreef op dinsdag 11 juli 2017 @ 12:20:
@Verwijderd Uiteraard heb je gelijk dat dit een pleister op een wondje plakken is.
Is PFSense iets om naar te kijken?

Mijn ervaring met pfSense is heel beperkt. Elke keer als ik het probeer vind ik het vele malen ingewikkelder dan de Linux command-line. Maar mogelijk is dat simpelweg een kwestie van gewenning. Functioneel lijkt pfSense me een prima alternatief.

Of gewoon een duidelijk briefje naar de gebruikers met een verantwoordelijk stelling etc. Hierin kan ook duidelijk gesteld worden dat je anders genoodzaakt bent tot totale monitoring van al het verkeer. Ik weet wel waar de huurders voor kiezen.

Inderdaad pfsense is een mogelijkheid. Maar mogelijk kan je ook iets met je firewall. Als je weet wat er zoal gescand wordt dan zou je je firewall mogelijk in kunnen stellen verbindingen met die adressen te loggen en kan je daar iets van informatie uithalen.
Als je op een of andere manier iets zou kunnen doen moet tcpdump of wireshark dan denk ik dat je er zo uit bent. Tcpdump kan specifiek luisteren naar bepaalde poorten/ip-adressen mac adressen in of uitgaand verkeer etc. En de syntax is vrij simpel. Dat kost geen dagen waarschijnlijk, 1 dag en mogelijk nacht (verdachte computers gaan snachts ook wel door). Schaamteloos wijs ik naar een oude post van mezelf om je op weg te helpen, maar google is ook gewillig. https://gathering.tweaker...message/41271038#41271038. Met een live backtrack cd kan dit ook wel.
Het is overigens wel zo dat ik vermoed dat als je zonder enig overleg met de andere bedrijven netwerk verkeer gaat lopen sniffen zonder afspraken dat je daarmee problemen kan krijgen. Dus eerst overleggen, maar gezien niemand meer internet heeft als je afgesloten wordt lijkt me dat niemand moeilijk doet.

[ Voor 5% gewijzigd door JohnKarma op 16-07-2017 21:26 ]

JohnKarma schreef op zondag 16 juli 2017 @ 21:24:
Het is overigens wel zo dat ik vermoed dat als je zonder enig overleg met de andere bedrijven netwerk verkeer gaat lopen sniffen zonder afspraken dat je daarmee problemen kan krijgen. Dus eerst overleggen, maar gezien niemand meer internet heeft als je afgesloten wordt lijkt me dat niemand moeilijk doet.

Zolang je niet erg diep in de handleiding duikt zul je met tcpdump niet meer dan metadata verzamelen en dat is niet zo'n probleem. Met wireshark zit je wat sneller in andermans data, maar ook hier ben je eigenlijk alleen op zoek naar metadata over het verkeer wat de andere bedrijven genereren.

Sowieso moet je geen data bewaren en gebruiken. Naar analogie met telefoongesprekken: als je ergens staat en je hoort het telefoongesprek wat iemand aan de andere kant van de schutting voert mag je daar best naar luisteren. Je moet het alleen niet opschrijven en al helemaal niet gebruiken.

TS: Met alleen maar een Draytek kun je bijna niets. Als er ook een switch staat kun je misschien al wat meer. Een beetje managed switch heeft een feature die port-monitoring of port mirroring heet. Wat de switch doet is al het verkeer op een poort kopiëren naar een tweede poort. Je kopieert al het verkeer naar de Draytek naar een poort waar je een laptop aanhangt waar je tcpdump of wireshark op draait. Die laat je een dag hangen, en samen met je ISP kun je dan achterhalen welk intern adres iemand buiten de deur lastig gevallen heeft.

Overigens: de kans is heel groot dat het de meubelstoffeerderij is, en dat de scans gedaan worden door malware op de PC waar ze de boekhouding op doen en dat ze zelf nergens van weten.

JohnKarma schreef op zondag 16 juli 2017 @ 21:24:
Maar mogelijk kan je ook iets met je firewall.

Een Draytek router is geen firewall en heeft geen firewall functionaliteit. Het is een simpele router die NAT en portforwarding mogelijk maakt. Verder zit er een basaal packetfilter in, en een handige webinterface. Meer dan genoeg voor de doorsnee thuisgebruikert, maar een regel toevoegen die een SNMP trap verstuurt als een lokale client de limiet voor het aantal uitgaande SYN's naar één IP overschrijdt zit er niet in.

[ Voor 14% gewijzigd door burne op 16-07-2017 23:34 ]

Het is me duidelijk dat je er wat meer van weet als ikzelf.
Afgaande op de handleiding had ik het idee dat er wel wat meer mogelijk was met de firewall.
https://www.manualslib.co...2960.html?page=110#manual.
Is het trouwens zo dat als ik een pcap bestand gecaputured met tcpdump in wireshark open ik andere informatie krijg als met puur wireshark? Ik had het idee dat wireshark info uit de capture omzet in meer nuttige info.
ps weer wat geleerd over een managed switch, handige functie port mirroring.

DexterDee schreef op dinsdag 11 juli 2017 @ 12:22:
Ik zou tussen de WAN verbinding en de Draytek een PFSense bakje neerzetten met Suricata erop. Hiermee heb je heel snel in kaart welke interne IP's aan het poortscannen zijn en kun je zelfs deze IP's automatisch blokkeren.

Hoe kun je dat aan de WAN kant? Het lijkt me dat je aan de verkeerde kant van de NAT zit.